kaeptn23
Goto Top

Vigor 2900 hinter Speedport 920

Hallo,

ich habe eine Frage, wahrscheinlich aus dem Bereich Routing Routing for Dummies. Aber scheinbar ähnliche Threads hier im Forum haben mir bisher nicht geholfen.

Mittelfristig möchte ich einen Server in einer DMZ aus dem Internet ansprechen. Ich scheitere jedoch leider schon daran, dass nach dem Aufbau des zweiten Routers meine PCs nicht mehr ins Internet kommen. Zurzeit habe ich meinen Speedport W920V und meinen Vigor 2900Gi wie folgt verschaltet:

Internet ---(DSL)--- Speedport ---(192.168.1.0/24)--- Vigor ---(192.168.2.0/24)--- PC

Der Speedport hat LAN-seitig natürlich eine feste Adresse (192.168.1.1), der Vigor WAN-seitig fest 192.168.1.2 und LAN-seitig 192.168.2.1. Auf dem Vigor läuft ansonsten der DHCP-Server, der den Clients als Standard-Gateway seine eigene LAN-seitige Adresse 192.168.2.1 mitteilt. Der Vigor selbst weiß wiederum, dass sein Standard-Gateway der 192.168.1.1 ist.

Damit meine ich eigentlich, alles Notwendige eingestellt zu haben, damit meine Clients ins Internet kommen, bevor ich dann später mal dem eigentlichen Ziel eines Servers in der DMZ zuwende. Funktionier aber leider nicht!

Vom PC aus geht:
ping 192.168.2.1 (LAN-Seite des Vigor)
ping 192.168.1.2 (WAN-Seite des Vigor)
ping 192.179.1.1 (LAN-Seite des Speedport)

Es geht jedoch nicht:
ping www.tagesschau.de (wobei der Name durchaus aufgelöst wird, 80.157.150.90)

Was muss ich zusätzlich beachten, um diese Grundkonstellation zum Laufen zu bringen?

Vielen Dank für eure Hilfe!

Content-Key: 157112

Url: https://administrator.de/contentid/157112

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: aqui
aqui 16.12.2010, aktualisiert am 18.10.2012 um 18:44:25 Uhr
Goto Top
Mitglied: kaeptn23
kaeptn23 16.12.2010 um 15:10:18 Uhr
Goto Top
Oha, das ist erst mal Stoff genug. Schon mal Danke für den Link und 'schuldigung, dass ich den Beitrag nicht selbst gefunden habe. face-wink

Ich geb Nachricht, wenn ich damit durchgekommen bin.
Mitglied: kaeptn23
kaeptn23 16.12.2010 um 17:09:06 Uhr
Goto Top
Okay, ganz so schnell bin ich dann doch noch nicht am Ziel. Du verweist in deiner Anleitung auf den Heise-Artikel "DMZ selbst gebaut", den ich tatsächlich auch schon gefunden hatte. Da habe ich mich auch dran gehalten, denke ich. Außerdem verweist du auf dein "Routing-Tutorial", und hier stoße ich auf die Problematik "Statische Route im externen Router" vs. "NAT im internen Router".

Ich verstehe, dass der externe Router eigentlich so eine statische Route braucht, um die Antworten auf die Requests der Clients aus dem internen LAN wieder zurückschicken zu können. Ich fürchte aber, dass ich eine solche statische Route beim Speedport W920V nicht einstellen kann - kann das jemand bestätigen? - Oder besser: mich aufklären, wie's geht?

Bleibt also zunächst einmal NAT auf dem internen Router, bei mir also dem Vigor 2900Gi. So wie ich es verstehe, ist auf dem Gerät aber NAT immer eingeschaltet, oder etwa nicht? Ich kann auf dem Router eine Port Redirection Table pflegen (das brauche ich aber nach meinem Verständnis nur, wenn ich Dienste aus dem internen LAN öffentlich machen will), einen so genannten DMZ Host einstellen (das will ich aber ja gerade nicht, siehe Einleitung zum Heise-Artikel), oder "Ports öffnen" - ist es das, was ich brauche? Wenn ja, welche Portbereiche sollte man denn da öffnen?

Aber so richtig verstehe ich's nicht. Dann könnte ich DHCP im internen LAN ja vergessen, denn die geöffneten Portbereiche werden jeweils bezogen auf eine IP-Adresse angegeben.

Danke noch mal für erhellende Antworten!
Mitglied: aqui
aqui 17.12.2010, aktualisiert am 18.10.2012 um 18:44:26 Uhr
Goto Top
Ja in der Tat. Speedports sind billigste Consumer Hardware die sowas nicht supporten obwohl komischerweise auch billige Taiwan Router es können. Warum bleibt wohl ein Geheimnis der T-Com aber nundenn...
Mit dem Speedport Teil hast du keinerlei Chance auf "richtiges" transparentes Routing, da bist du leider zwangsweise auf den NAT Betrieb verhaftet. Es sei denn...du tauschst den Speedport gegen was Reelles aus.

Eine wahre DMZ wie eine DMZ eigentlich sein soll ist damit nicht wirklich realisierbar, denn sie ist nicht wirklich sicher vom lokalen LAN getrennt in so einer Konstellation. Das ist eine Heimuser DMZ und für reale DMZ Anwendungen höchst gefährlich.
Eigentlich bist du schon von vorn herein den völlig falschen Weggegangen, denn eine DMZ ist immer in einem separaten physischen LAN Segment.
Mit einer kleinen Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
einem preiswerten DSL Modem davor:
http://www.pollin.de/shop/dt/NTM4ODgyOTk-/Computer_und_Zubehoer/Netzwer ...
Hättest du alles zusammen ohne die o.a. Frickelei mit einem Billigstrouter und einem halbgaren DMZ Router !
VPN, VLANs, "richtige" DMZ, usw. alles inklusive und ein DMZ Setup ist über das Webinterface mit ein paar Mausklicks in 5 Minuten erledigt !
Mitglied: kaeptn23
kaeptn23 17.12.2010 um 23:46:37 Uhr
Goto Top
Hallo,

deine Einschätzung zum Speedport will ich nicht anzweifeln, auch wenn ich sie mit meinem begrenzten Wissen nicht nachprüfen kann. Aber zutrauen würde ich der Telekom da so einiges.

Worauf du leider noch nicht eingehst - auch wenn ich verstehe, dass eine NAT-Lösung nicht die gleiche Sicherheit bietet wie eine echte DMZ - ist, wie ich denn den Vigor jetzt zu dieser NAT-Lösung bewege. Wie gesagt, eigentlich dachte ich, dass der Vigor NAT per Default bietet. Was fehlt noch, was muss ich ihm sagen, damit die Antworten auf meine Pings wieder beim "Fragesteller" - sprich: im internen LAN ankommen?

Wenn ich aus dem internen LAN eine Adresse im äußeren LAN pinge, kommt die Antwort ja durchaus wieder zurück. D. h. die NAT-Umsetzung von interner LAN-Adresse auf die äußere Adresse des Vigor und wieder zurück scheint ja zu funktionieren. Das Problem scheint also irgendwie im doppelten NATting zu liegen, oder?

Kannst du mir da noch mal helfen? Oder gibt's einen Spezialisten, der mir sagen könnte: "Na klar, da nimmst du die Option xy, und alles läuft!" Die Hoffnung stirbt zuletzt?
Mitglied: aqui
aqui 18.12.2010 um 11:11:43 Uhr
Goto Top
Das ist doch ganz einfach ! Ping basiert auf dem ICMP Protokoll (Echo und Echo Reply) Aktiviere also ganz simpel und einfach ein Port Forwarding für das ICMP Protokoll auf die interne IP Adresse und schon kannst du auch Pingen von außen !
So einfach ist das...
Man kann dir aber nur dringende davon abraten. Punztest Endgeräte ziehen in Sekunden das Interesse von Port Scannern im Internet auf diese IP. Darauf folgend dann meist Einbruchsversuche.
Besser also immer solche Dinge nicht zu aktivieren oder nur zum Test um sie dann Produktivbetrieb wieder abzuschalten !
Sicherheit sollte immer erste Priorität sein wenn man Geräte im Internet exponiert...gerade wenn diese zudem noch ein Windows Betriebssystem haben !!
Mitglied: kaeptn23
kaeptn23 18.12.2010 um 23:32:47 Uhr
Goto Top
Sorry, aber das ist ja nicht ganz das gleiche, wie ich gefragt hatte. Ich hatte (natürlich nur zum Test!) von innen nach außen gepingt (www.tagesschau.de, www.heise.de, whatever) aber die Antwort kommt nicht zum Host im internen LAN zurück. Ziel ist natürlich eigentlich vom internen Host aus nicht zu pingen, sondern ins Web zu gehen (was halt zur Zeit auch nicht geht, daher der Test mit dem Ping), zu mailen, also http, smtp, pop3, oder was auch immer für ein Protokoll zu nutzen. D. h. der Request soll natürlich schon von innen kommen, die Antwort muss aber nunmal auch irgendwie zurück kommen.

Also, mein Vigor bietet über die Werkseinstellungen hinaus (die - so dachte ich - ein NATting beinhalten) die Optionen

  • Configure Port Redirection Table
  • DMZ Host Setup
  • Open Ports Setup

Siehe mein Kommentar von vorgestern 17:09.

Hilft das irgendwie weiter? Hat irgendjemand eine Ahnung, warum das NAtting des Vigor zusammen mit dem NATting des Speedport (noch) nicht tut, was es soll?

Vielen Dank an alle fleißigen Schreiber!
Mitglied: aqui
aqui 20.12.2010, aktualisiert am 18.10.2012 um 18:44:27 Uhr
Goto Top
Das liegt ganz klar an dir und deiner Konfiguration ! Dieses Tutorial zeigt dir wie man die beiden richtig kombiniert:
Kopplung von 2 Routern am DSL Port
(Alternative 2)

Du musst dort gar nix einstellen und kannst beide Router simpel und einfach zusammenstecken. Damit funktioniert es schon wenn du dich an die Angaben im Tutorial hälst !!
Das 2 mal NAT gemacht wird ist kein Hinderungsgrund und funktioniert problemlos !!
Das ist ein simples Standardszenario und vollkommen unabhängig vom Router Hersteller.
Mitglied: kaeptn23
kaeptn23 20.12.2010 um 11:07:04 Uhr
Goto Top
Okay, genau das war ja meine Ausgangsfrage. Mein Verständnis ist also richtig, dass ich da nix weiter einstellen muss. Trotzdem funktioniert's halt nicht.

Also, um es noch mal auf den Punkt zu bringen (ansonsten bitte oben im Thread vergleichen):

Der Speedport steht im Netz 192.168.1.0/24 mit der Adresse .1
In diesem Netz steht auch mit seiner externen Seite der Vigor mit der Adresse .2
Mit seiner internen Seite steht der Vigor im Netz 192.168.2.0/24 und hat dort die Adresse .1

Problem:
Von einem Host im äußeren Netz kann ich ins Internet pingen, browsen, mailen usw.
Von einem Host im inneren Netz kann ich ins äußere Netz pingen und browsen (beispielsweise komme ich vom inneren Host auf die Konfigurationsseite des Speedport = äußeres LAN).
Aber: Vom inneren Host komme ich nicht ins Internet, kein ping, kein Web, ...

Welche zusätzlichen Informationen sind notwendig, um hier in der Analyse weiterzukommen? Vielleicht ist mein Problem ja doch nicht so anspruchslos?
Mitglied: aqui
aqui 21.12.2010, aktualisiert am 18.10.2012 um 18:44:29 Uhr
Goto Top
Bitte poste hier einmal deine Status Seite vom Vigor:
http://www.draytek.de/Offline/Vigor2910VGi_fw_312_dt/index.html
Bedenke das der Vigor auch die 192.168.1.0 /24 auf seinem LAN Interface nutzt !!!
Ganz so mit einfach zusammenstecken ist also nicht, sonst hast du 2 mal das gleiche IP Netzwerk in Benutzung was dann natürlich scheitert. Du musst also VORHER (also dem Zusammenstecken) wenigsten einmal den Vigor auf die korrekte IP Adresse am LAN Port einstellen !! Ebenso den DHCP Server dort in seinem Bereich:
http://www.draytek.de/Offline/Vigor2910VGi_fw_312_dt/index.html ==>> LAN ==>> Basiskonfiguration !
ACHTUNG: Der Speedport 920V hat per Default auch die 192.168.2.0 !!!!
Siehe
http://www.telekom.de/dlp/eki/downloads/Speedport/Speedport%20W%20920V/ ...
Seite 26
Wenn du das nicht wirklich verändert hast im Setup darfst du am Vigor die .2.0 als Netz NICHT verwenden sonst hast du wieder doppelte IPs !!
Besser also du stelltst den Vigor auf etwas ganz anderes als diese dummen, unsinnigen und immer wieder verwendeten .1 und .2er Allerwelts Netze ein !!
Zumal auch im Hinblick auf ggf. spätere VPN Verwendung:
VPNs einrichten mit PPTP

Nimm also am besten 192.168.20.0 /24 dann bist du mit dem Vigor immer auf der sicheren Seite ohne Fehlergefahr !!

Der WAN Port der zum Speedport geht muss auf "feste/dynamische IP" stehen !
http://www.draytek.de/Offline/Vigor2910VGi_fw_312_dt/index.html ==>> WAN ==>> Einwahl ins Internet !

Zudem einmal ein ipconfig -all der LAN-Verbindung von einem Rechner im inneren LAN ebenfalls hier posten !
Hast du einmal versucht einen "nackte" IP Adresse im Internet vom inneren LAN zu pingen wie z.B.:
193.99.144.85 www.heise.de
oder
195.71.11.67 www.spiegel.de
Funktioniert das ???

Damit schliesst du dann sicher DNS Probleme aus. Vermutlich bekommen deine Rechner im inneren Netz keinen gültigen DNS Server im inneren Netz.
Dann musst du ggf. einen festen DNS Server 192.168.1.1 (Speedport) angeben im DHCP Server des Vigors. Normalerweise passiert das aber dynamisch !
ipconfig zeigt das sofort !
Leider hast du es nicht geschafft bis hierhin die o.a. Infos einmal zu posten so das man dir wirklich helfen kann face-sad

Zuallererst ordne einmal deine IP Adressierung auf wasserdichte und vor allen Dingen korrekte Werte !!!
Wenns dann immer nch nicht klappen sollte poste bitte die Vigor Systemseite und ein ipconfig Auszug hier !!!
Ohne das kommen wir hier nicht weiter....